Область техники
Изобретение относится к способам защиты данных с использованием сертификатов или электронных подписей.
Предшествующий уровень техники
Известно использование мобильного телефона для электронной подписи (ЭП) хэша документа, поскольку размеры экрана мобильного телефона могут затруднять ознакомление пользователя с документом, например, публикация европейской патентной заявки ЕР 2582115 от 17.04.2013. Однако это известное техническое решение не предусматривает проверку подлинности документа, представленного на подпись.
Из уровня техники известен патент США US 6453416 от 17.09.2002, в котором описан способ электронной подписи, формируемой сервером электронной подписи после получения им от устройства пользователя хэша документа и совпадения полученного хэша документа с хэшем документа вычисленным сервером электронной подписи.
Этот известный способ предусматривает идентификацию пользователя и его аутентификацию и является прототипом для заявленного способа электронной подписи.
Недостатком этого способа является то, что он не предусматривает аутентификации пользователем подписываемого документа и, соответственно, не обеспечивает неотказуемость пользователя от его поручения серверу ЭП подписать документ. На устранение этого недостатка и направлено заявленное изобретение.
Раскрытие изобретений
Техническим результатом, на достижение которого направлено заявленное изобретение, является реализация неотказуемости пользователя от его поручения серверу ЭП подписать документ, основанной на аутентификации и пользователя, и документа, подписываемого пользователем. Для достижения этого технического результата операция по аутентификации пользователя и получения его поручения подписать документ, предусмотренная в прототипе, в заявленном техническом решении разделена. В заявленном изобретении сначала сервер ЭП производит аутентификацию пользователя по сообщению, полученному от мобильного телефона пользователя в ответ на push-уведомление, затем направляет пользователю хэш документа и пользователь производит аутентификацию документа и только потом дает поручение серверу ЭП о подписи документа или отказывается от подписи.
Другим техническим результатом является повышение защищенности реализации электронной подписи документа при проникновении в сервер электронной подписи извне, поскольку ключ электронной подписи хранится на сервере электронной подписи в зашифрованном виде, а ключ шифрования хранится в мобильном приложении на телефоне пользователя, причем зашифрован паролем пользователя. Более того, предусмотрены два обмена сообщениями между мобильным телефоном пользователя и сервером электронной подписи. Первый обмен сообщениями, инициируемый push-уведомлением, происходит по защищенному каналу и позволяет произвести взаимную аутентификацию корреспондентов, а второй обмен сообщениями завершается направлением ключа шифрования серверу электронной подписи только после принятия решения пользователем после ознакомления с документом и на основании сравнения хэшей документа, полученных по разным каналам связи.
Дополнительным техническим результатом, достигаемым в заявленном изобретении, является использование одного мобильного средства связи (мобильного телефона) и для ознакомления с документом, и для аутентификации этого документа, и для указания о подписи этого документа благодаря использованию в этих операциях различных каналов связи.
Указанные технические результаты достигаются в способе электронной подписи документа, формируемой сервером электронной подписи, хранящим ключ электронной подписи пользователя в зашифрованном виде, а ключ шифрования, который может быть симметричным или асимметричным, хранится в мобильном приложении, установленном на телефоне пользователя, и может быть опционально в свою очередь тоже быть зашифрован, например, паролем пользователя. В соответствии с заявленным способом при поступлении документа сервер электронной подписи вычисляет хэш этого документа, предоставляет документ и его хэш для ознакомления пользователя и отправляет уведомление, например push-уведомление на телефон пользователя, оснащенный мобильным приложением, открываемым пользователем, в частности при нажиме на push-уведомление, затем пользователь, открыв мобильное приложение, может ввести пароль, если он предусмотрен, и мобильное приложение:
- если предусмотрен пароль, расшифровывает с использованием пароля ключ для создания защищенного канала (например, TLS) и ключ шифрования,
- устанавливает защищенное соединение с сервером электронной подписи с двухсторонней аутентификацией по сертификатам,
- получает от сервера электронной подписи и отображает на экране телефона пользователя хэш подписываемого документа, который пользователь сравнивает с хэшем, отображаемым в браузере, установленном на оборудовании пользователя, и
при успешном сравнении и согласии подписать документ пользователь инициирует отправку сообщения через интерфейс мобильного приложения, тогда:
- мобильное приложение по защищенному соединению отправляет хэш документа и ключ шифрования на сервер электронной подписи,
- полученный хэш документа сервер электронной подписи сравнивает с хэшем документа, вычисленным им ранее, при их совпадении используя ключ шифрования, полученный от мобильного приложения, установленного на телефоне пользователя, расшифровывает подпись заявителя, формирует и возвращает подпись хэш документа.
Для ознакомления пользователя сервер электронной подписи, используя свой WEB интерфейс, может размещать документ и его хэш в сети Интернет, при этом браузер, установленный на оборудовании пользователя, перенаправляется отправителем документа - сервером с программным обеспечением, которое использует программные интерфейсы интеграции (API) application programming interface) сервера ЭП, по ссылке, предоставленной сервером электронной подписи.
Также возможен вариант, когда ссылка не предоставляется Сервером ЭП, а происходит сразу передача push-уведомления на телефон пользователя. В этом случае пользователь ознакамливается с документом только на своем телефоне. Браузер может быть установлен на телефоне пользователя.
Сервер электронной подписи может предоставлять документ и его хэш пользователю для ознакомления по электронной почте, адрес которой может быть указан в сообщении при поступлении документа на сервер электронной подписи.
Мобильное приложение может содержать зашифрованные паролем пользователя ключ для создания защищенного канала (например, TLS) и ключ шифрования.
Краткое описание чертежей
На чертеже показан алгоритм реализации заявленного способа электронной подписи.
Варианты использования изобретений
Использование изобретений, например, возможно при подаче заявления на государственную регистрацию индивидуального предпринимателя или общества с ограниченной ответственностью.
Пользователь на сайте Автоматизированной Информационной Системы (далее АИС) в сети Интернет заполняет анкету и АИС на основе данных пользователя создает документ "Заявление на регистрацию компании" и пересылает этот документ на сервер электронной подписи, где хранится ключ электронной подписи пользователя, зашифрованный ключом, хранящимся в мобильном приложении на телефоне пользователя.
Затем сервер электронной подписи:
- вычисляет хэш документа и, используя свой WEB интерфейс, размещает документ и его хэш в сети Интернет и возвращает в АИС ссылку, на которую АИС перенаправляет браузер, установленный на компьютере пользователя (по этой ссылке пользователь ознакамливается с документом и его хэшем), и
- отправляет push-уведомление на телефон пользователя, оснащенный мобильным приложением, открываемым пользователем при нажиме на push-уведомление.
Затем пользователь, открыв мобильное приложение, вводит пароль и мобильное приложение:
- расшифровывает с использованием пароля закрытый ключ для создания защищенного соединения и ключ шифрования,
- устанавливает защищенное соединение с сервером электронной подписи с двухсторонней аутентификацией по сертификатам,
- получает от сервера электронной подписи и отображает на экране телефона пользователя хэш подписываемого документа, который пользователь сравнивает с хэшем, отображаемым в браузере, установленном на компьютере пользователя.
При успешном сравнении и согласии подписать документ пользователь инициирует отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение, используя защищенное соединение, отправляет хэш документа и ключ шифрования на сервер электронной подписи, а сервер электронной подписи сравнивает полученный хэш документа с хэшем документа, вычисленным им ранее, и при их совпадении, используя ключ шифрования, полученный от мобильного приложения, установленного на телефоне пользователя, расшифровывает ключ электронной подписи заявителя, формирует и возвращает подпись документа в АИС, который отправляет документ и электронную подпись к нему в Государственный орган регистрации предпринимателей и юридических лиц.
Другим примером является использование изобретения для подписания кредитного договора между банком и заемщиком. Кредитный менеджер формирует и размещает договор кредитования между банком и заемщиком на сервере банка. Сервер банка отправляет договор кредитования на Сервер электронной подписи 2 раза - для подписания заемщиком и уполномоченным лицом банка и каждый раз получает ссылку для подписания договора кредитования, которая предоставляется вместе с договором, соответственно, заемщику и уполномоченному лицу банка, например, по электронной почте. Каждый раз один из них получает push-уведомление, открывает мобильное приложение, вводит пароль и мобильное приложение:
- расшифровывает с использованием пароля ключ для создания защищенного канала и ключ шифрования,
- устанавливает защищенное соединение с сервером электронной подписи с двухсторонней аутентификацией по сертификатам,
- получает от сервера электронной подписи и отображает на экране телефона пользователя хэш договора кредитования, который пользователь сравнивает с хэшем, предоставленным ему сервером банка.
При успешном сравнении и согласии подписать договор кредитования и заемщик, и уполномоченное лицо банка инициируют отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение, используя защищенный канал, отправляет хэш договора кредитования и ключ шифрования на сервер электронной подписи, а сервер электронной подписи сравнивает полученный хэш договора кредитования с хэшем договора кредитования, вычисленным им ранее, и при их совпадении, используя ключ шифрования, полученный от мобильного приложения, установленного на телефоне пользователя, расшифровывает подпись заявителя, формирует и возвращает подпись хэша договора кредитования на сервер банка, который отдает команду на перечисление средств в адрес заемщика.
Алгоритм реализации заявленного способа электронной подписи в обобщенном виде, изображенный начертеже, включает следующие операции:
1. Ввод данных с компьютера пользователя в форму, хранимую на сервере прикладного программного обеспечения (ПО).
2. Генерация сервером прикладного ПО документа для подписи.
3. Передача документа на подпись от сервера прикладного ПО серверу подписи.
4. Запрос подписания документа сервером подписи у смартфона пользователя.
5. Ввод пользователем пароля.
6. Проверка пользователем отображенного документа.
7. Выражение пользователем согласия подписать документ, используя интерфейс смартфона, в простейшем случае - нажатие кнопки «Согласен».
8. Передача ключа расшифровки ключа подписи от смартфона серверу подписи.
9. Генерация подписи сервером подписи.
10. Возврат подписи от сервера подписи серверу прикладного ПО.
Изобретение относится к способам защиты данных с использованием сертификатов или электронных подписей. Технический результат заключается в повышении надежности. Способ электронной подписи документа, формируемой сервером электронной подписи после получения им от устройства пользователя хэша документа и совпадения полученного хэша документа с хэшем документа вычисленным сервером электронной подписи, при этом сервер электронной подписи хранит ключ электронной подписи пользователя в зашифрованном виде, а ключ шифрования хранится в мобильном приложении, установленном на телефоне пользователя, и зашифрован в свою очередь паролем пользователя. 5 з.п. ф-лы, 1 ил.
1. Способ электронной подписи документа, формируемой сервером электронной подписи после получения им от устройства пользователя хэша документа и совпадения полученного хэша документа с хэшем документа вычисленным сервером электронной подписи, отличающийся тем, что сервер электронной подписи хранит ключ электронной подписи пользователя в зашифрованном виде, а ключ шифрования хранится в мобильном приложении, установленном на телефоне пользователя, и зашифрован в свою очередь паролем пользователя, при поступлении документа сервер электронной подписи вычисляет хэш этого документа и предоставляет документ и его хэш для ознакомления пользователю, и отправляет уведомление на телефон пользователя, оснащенный мобильным приложением, открываемым пользователем, затем мобильное приложение устанавливает защищенное соединение с сервером электронной подписи с двухсторонней аутентификацией по сертификатам, получает от сервера электронной подписи и отображает на экране телефона пользователя хэш документа, который пользователь сравнивает с хэшем документа, предоставленным ему для ознакомления вместе с документом, и при успешном сравнении и согласии подписать документ пользователь инициирует отправку сообщения через интерфейс мобильного приложения, тогда мобильное приложение по защищенному соединению отправляет хэш документа и ключ шифрования на сервер электронной подписи, полученный хэш документа сервер электронной подписи сравнивает с хэшем документа, вычисленным им ранее, при их совпадении используя ключ шифрования, полученный от мобильного приложения, установленного на телефоне пользователя, расшифровывает подпись заявителя, формирует и направляет подпись хэш документа отправителю поступившего документа.
2. Способ по п. 1, отличающийся тем, что уведомление, отправляемое сервером электронной подписи на телефон пользователя, является push-уведомлением, а мобильное приложение открывается пользователем при нажиме на push-уведомление.
3. Способ по п. 1, отличающийся тем, что мобильное приложение содержит ключ для создания защищенного канала связи и ключ шифрования, зашифрованные паролем пользователя, и после открывания мобильного приложения пользователь вводит пароль, а мобильное приложение сначала расшифровывает с использованием пароля ключ для создания защищенного канала и ключ шифрования.
4. Способ по п. 1, отличающийся тем, что для ознакомления пользователя сервер электронной подписи, используя свой WEB интерфейс, размещает документ и его хэш в сети Интернет, при этом браузер, установленный на оборудовании пользователя, перенаправляется сервером отправителя документа по ссылке, предоставленной сервером электронной подписи.
5. Способ по п. 4, отличающийся тем, что браузер установлен на телефоне пользователя.
6. Способ по п. 1, отличающийся тем, что сервер электронной подписи предоставляет документ и его хэш пользователю для ознакомления по электронной почте, адрес которой был указан при поступлении документа на сервер электронной подписи.
US 6453416 B1, 17.09.2002 | |||
СПОСОБ ВЫРАБОТКИ ХЛЕБНОГО КВАСА | 2015 |
|
RU2582115C1 |
Способ измерения массы жидких тел с помощью сосуда-мерника и поплавка | 1957 |
|
SU110850A1 |
УСТРОЙСТВО И СПОСОБ УПРАВЛЕНИЯ ЦИФРОВЫМИ ПРАВАМИ | 2008 |
|
RU2504005C2 |
Авторы
Даты
2017-12-08—Публикация
2017-04-12—Подача